Leveringsvoorwaarden Brons abonnement AVG - Kleine Zorginstelling (maand)
Deze Leveringsvoorwaarden van stichting Privacyzorg zijn van toepassing op:
- alle overeenkomsten met betrekking tot "Basis PLUS, Brons, Zilver en Goud abonnementen” die worden aangegaan via privacyzorg.nl en worden geleverd door stichting Privacyzorg, Postbus 270 te 6600AG Wijchen, Kamer van Koophandel nummer 65358864 te 's-Hertogenbosch, BTW nummer NL8560.79.418.B.01, hierna te noemen "Privacyzorg".
- De Abonnee wordt geacht door het aangaan van een overeenkomst via Privacyzorg.nl, deze voorwaarden te accepteren.
- Privacyzorg behoudt zich het recht voor om wijzigingen aan te brengen in deze voorwaarden. Controleer deze voorwaarden daarom regelmatig. De laatste versie is te vinden op www.privacyzorg.nl.
KOMEN ALS VOLGT OVEREEN:
HOOFDSTUK 1: ALGEMENE BEPALINGEN
Artikel 1 - Definities
In deze overeenkomst hebben de volgende begrippen, telkens aangeduid met een hoofdletter, de volgende betekenis:DEFINITIE: | BETEKENIS: |
Abonnee | De natuurlijke persoon of rechtspersoon met wie Privacyzorg een "Jaarabonnement Praktijk” sluit, aan wie Privacyzorg een Dienst levert of met wie Privacyzorg in andere rechtsverhouding staat. |
Autoriteit Persoonsgegevens (AP) | De autoriteit met als taak toe te zien op de Persoonsgegevensverwerkingen. |
Beleid gegevensverstrekking | Het beleid van Privacyzorg aangaande het beoordelen van aanvragen tot gegevensverstrekking aan derde partijen, zoals benoemd in Bijlage 3. |
Betrokkene |
Degene op wie een persoonsgegeven betrekking heeft, of zijn vertegenwoordiger. |
Beveiligingsincident | Een inbreuk op de beveiliging, bedoeld in artikel 11 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die worden verwerkt. |
Verwerker | Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. |
Dataset | De beschrijving van gegevens in de Privacybeheer database, zoals benoemd in Bijlage 2. |
Diensten | De door Privacyzorg op basis van deze Overeenkomst aan Abonnee te leveren diensten, zoals nader gespecificeerd in de Dienstenbeschrijving. |
Dienstenbeschrijving | De beschrijving van Diensten, zoals beschreven in Bijlage 1. |
Functionaris gegevensbescherming (FG) | Externe toezichthouder die binnen de organisatie toezicht houdt op de toepassing en naleving van de Wbp. De wettelijke taken en bevoegdheden van een FG geven deze functionaris een onafhankelijke positie in de organisatie. |
Intellectuele Eigendomsrechten | Alle rechten van intellectuele eigendom, waaronder, maar daartoe niet beperkt, het auteursrecht, het merkenrecht en het databankenrecht. |
IPM-model | Integraal Privacy Management, een door Stichting Privacyzorg ontwikkeld model voor het snel en doelgericht organiseren en borgen van de privacywetgeving binnen zorginstelling. Het IPM-model levert alle hulpmiddelen die een instelling nodig heeft voor de inrichting en het managen van privacy compliance. Het IPM-model bestaat uit drie onderdelen: de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode. |
Overeenkomst | Deze overeenkomst, met inbegrip van de daarbij behorende bijlagen. |
Persoonsgegevens | Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. |
Persoonsgegevensverwerking (of Verwerking) | Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. |
(Praktijk)vestiging | Een gebouw of complex van gebouwen waar de duurzame uitoefening van de activiteiten van Abonnee plaatsvindt. |
Privacybeheer database | Database waarin de privacygegevens worden verzameld van de aangesloten Abonnees. Zulks rechtstreeks ten behoeve van het beheer van de Persoonsgegevensverwerkingen die door de Abonnees worden verricht. |
Responstijd | De tijd die ligt tussen het moment van plaatsen van een melding tot het moment van aanvang van de werkzaamheden die nodig zijn om het probleem op te lossen. |
Verantwoordelijke | De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Persoonsgegevensverwerkingen vaststelt. |
Zorgverlener | Degene die zelfstandig zorg levert aan patiënten en/of cliënten binnen de Vestiging van de Abonnee. |
Artikel 2 – Diensten Abonnee
- Privacyzorg verleent aan Abonnee de Diensten zoals benoemd in Bijlage 1: Dienstenbeschrijving.
- Privacyzorg zal de Dienstenbeschrijving, telkens uitsluitend na overleg met de Abonnee, aanpassen indien dit nodig is om de doeleinden van Privacyzorg en de Abonnee te verwezenlijken. Zij zal Abonnee steeds uiterlijk drie maanden voor het in werking treden van wijzigingen hiervan op de hoogte stellen. Abonnee zal steeds in staat worden gesteld om bij Privacyzorg bezwaren tegen wijzigingen van de Diensten kenbaar te maken en met Privacyzorg hierover in overleg te treden.
Artikel 3 - Vergoeding en betaling
1. Abonnee is voor de verleende Diensten van Privacyzorg een financiële bijdrage verschuldigd. Deze financiële bijdrage is berekend over:
b) een inschatting van het benodigde aantal uren voor werkzaamheden dat Privacyzorg voor Abonnee jaarlijks verricht, én
c) een inschatting van het totaal aantal tickets dat Privacyzorg voor Abonnee binnen de periode registreert, gelijk aan de berekening onder Bijlage 1 onder C.
3. Een eventuele correctie over de financiële bijdrage wordt berekend over de historisch gegevens in de Privacybeheer database van de geregistreerde uren/calls op 1 januari van het voorgaande jaar.
4. Bij een overschrijding van het totaal aan afgesproken uren en/of calls, zoals genoemd in artikel 3 onder lid 4 zal in overleg met de Abonnee een naheffing/bijbetaling worden berekend voor de resterende contractperiode.
5. De rechten uit de Berekeningsindicatoren, zoals beschreven in Bijlage 1 onder C, vervallen na het verstrijken van de contractperiode.
6. Abonnee zal de in het eerste lid genoemde financiële bijdrage binnen 30 dagen na ontvangst van de daarop betrekking hebbende factuur voldoen.
Artikel 4 - Uurtarief additionele werkzaamheden
Niet expliciet benoemde werkzaamheden binnen de Dienstverleningsovereenkomst worden apart en op basis van nacalculatie gefactureerd. De volgende items vallen hieronder:
- Overschrijding van het totaal aan afgesproken uren en/of calls, zoals genoemd in Bijlage 1 onder C
- Projecten en overige consultancy
- Overige werkzaamheden op verzoek van de Abonnee
Privacy & Security consultant | EUR 95,00 |
Projectleider | EUR 95,00 |
ICT-specialisten | Op aanvraag |
Voor activiteiten die buiten kantoortijden vallen, gelden de volgende overwerktoeslagen:
Omschrijving: | Toeslag: |
Voor en na kantoortijden | 150% |
Zaterdagen | 150% |
Zon- en feestdagen | 200% |
Artikel 5 – Contractperiode en verlenging
1. Deze overeenkomst treedt in werking op de datum van ondertekening en/of betaling van de financiële bijdrage en wordt aangegaan voor de duur van één jaar.2. Behoudens opzegging door één der Partijen, met inachtneming van een opzegtermijn van drie maanden voor het einde van de contractperiode, wordt de overeenkomst daarna telkens stilzwijgend verlengd voor de duur van één jaar.
Artikel 6 – Beëindiging
1. Indien één der partijen de overeenkomst niet wenst te verlengen, dient de betrokken partij dit schriftelijk kenbaar te maken met inachtneming van een opzegtermijn van 3 kalendermaanden voor het einde van de contractperiode.2. Indien één der partijen toerekenbaar tekortschiet in de nakoming van deze Overeenkomst is die partij in verzuim, nadat de andere partij een redelijke termijn heeft geboden om alsnog na te komen en ook binnen die redelijke termijn niet, niet volledig of niet tijdig wordt nagekomen. In dat geval is de andere partij bevoegd de Overeenkomst met onmiddellijke ingang te ontbinden door middel van een daartoe gericht aangetekend schrijven aan de andere Partij.
3. Niettegenstaande het overige bepaalde zijn gerechtigd zonder ingebrekestelling of rechterlijke tussenkomst bij aangetekend schrijven met onmiddellijke ingang de Overeenkomst te ontbinden;
Iedere partij, indien en zodra:
b) aan de andere partij (voorlopige) surseance van betaling wordt verleend en de (voorlopige) surseance van betaling langer dan zes maanden achtereen heeft geduurd;
c) de andere partij in staat van faillissement wordt verklaard;
d) de andere partij niet (langer) in staat of bereid moet worden geacht haar verplichtingen voortvloeiend uit deze Overeenkomst na te komen;
5. Bij beëindiging van de Overeenkomst zal de Privacyzorg alle in haar bezit zijnde documentatie betreffende de Overeenkomst vernietigen. Voorts zal de Abonnee alsdan geen gebruik meer maken van de Producten en Diensten van Privacyzorg.
6. Indien de Overeenkomst wordt beëindigd anders dan op de wijze zoals genoemd onder lid 3 en indien de Abonnee aan al haar verplichtingen heeft voldaan jegens Privacyzorg, dan zal Privacyzorg (op verzoek van de Abonnee) binnen 30 dagen na de beëindiging van de Overeenkomst de gegevens van de Abonnee exporteren naar een machine-leesbaar document. De kosten voor deze werkzaamheden worden gefactureerd op basis van nacalculatie. Privacyzorg heeft het recht haar verplichting op grond van deze bepaling op te schorten zolang de Abonnee niet aan haar verplichtingen op grond van deze Overeenkomst heeft voldaan.
Artikel 7 - Vertrouwelijkheid en geheimhouding
1. Indien en voor zover bij de uitvoering van deze Overeenkomst vertrouwelijke informatie van een partij ter kennis komt van de andere partij zal deze ontvangende partij deze informatie alleen gebruiken voor het uitvoeren van deze Overeenkomst en de toegang tot die Informatie beperken tot personen die daarvan voor dat doel kennis moeten nemen. Partijen staan ervoor in dat deze personen door een arbeidsovereenkomst en/of een geheimhoudingsovereenkomst verplicht zijn tot geheimhouding van deze vertrouwelijke informatie.2. Onder vertrouwelijke informatie wordt verstaan: alle informatie die partijen in het kader van deze Overeenkomst uitwisselen, waaronder, maar niet daartoe beperkt, de gegevens die Abonnee aanlevert in het kader van het privacybeheer, de gegevens in de Privacybeheer database, auditgegevens en alle overige vertrouwelijke organisatorische gegevens.
3. Onder vertrouwelijke informatie wordt niet verstaan:
- informatie die reeds openbaar was op het moment dat deze ter kennis kwam van de ontvangende partij of naderhand openbaar is geworden;
- informatie die de ontvangende partij ook van een derde heeft gekregen zonder dat daarbij een geheimhoudingsverplichting is opgelegd of deze derde daartoe verplicht was;
- informatie die door Partijen is aangemerkt als zijnde niet-vertrouwelijk;
- geaggregeerde (geanonimiseerde) data en onderzoeksresultaten die Privacyzorg, onder andere op basis van de gegevens uit de Privacybeheer database, tot stand brengt en publiceert.
Artikel 8 - Intellectuele Eigendomsrechten
1. Alle Intellectuele Eigendomsrechten met betrekking tot het IPM-model (waaronder de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode), de Privacybeheer database, de templates, de audit rapportages, benchmarkgegevens en alle resultaten voortvloeiend uit de Dienstverlening, berusten uitsluitend bij Privacyzorg. Niets in deze overeenkomst beoogt overdracht van deze Intellectuele Eigendomsrechten.
Artikel 9 - Aansprakelijkheid
1. De totale aansprakelijkheid van Privacyzorg wegens een toerekenbare tekortkoming in de nakoming van deze Overeenkomst of uit enige andere hoofde, waaronder nadrukkelijk begrepen garantie- en/of vrijwaringsverplichtingen, is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de door Abonnee verschuldigde financiële bijdrage over één contractjaar als bedoeld in artikel 3.1. In geen geval zal de totale aansprakelijkheid van Privacyzorg voor directe schade uit welke hoofde dan ook meer bedragen dan het bedrag dat in het betreffende geval wordt uitgekeerd door de bedrijfsaansprakelijkheidsverzekering van Privacyzorg.2. De aansprakelijkheid van Privacyzorg voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, of schade verband houdende met programmatuur, apparatuur of diensten van derden is uitgesloten.
Artikel 10 – Functionaris gegevensbescherming (FG)
1. Indien de Abonnee hoofdzakelijk grootschalige verwerkingen uitvoert van bijzondere categorieën van persoonsgegevens en derhalve onder de werking van artikel 37 AVG verplicht is tot het aanwijzen van een FG, zal Privacyzorg een medewerker als (Hoofd) FG registreren bij de Autoriteit Persoonsgegevens.2. Wanneer de Abonnee vrijwillig een (collectieve) FG krijgt toegewezen, gelden voor zijn aanwijzing, positie en taken dezelfde voorwaarden van artikel 37 tot en met 39 AVG die zouden gelden als de aanwijzing verplicht was geweest.
3. Uit hoofde van het recht van de EU of lidstaten heeft de FG een geheimhoudings- of vertrouwelijkheidsplicht bij de uitoefening van zijn taken (Artikel 38(5)). De geheimhoudings- of vertrouwelijkheidsplicht betekent echter niet dat de FG geen contact op mag nemen of advies in mag winnen bij de toezichthouder.
4. De FG heeft ingevolge artikel 39 lid 1 onderdeel b AVG een toezichthoudende taak. Als onderdeel van deze verplichting erop toe te zien dat de AVG nageleefd wordt, kunnen FG’s met name:
- informatie verzamelen om verwerkingswerkzaamheden te identificeren;
- analyseren en controleren in hoeverre verwerkingswerkzaamheden aan de AVG voldoen; en
- de Abonnee informeren, adviseren of aanbevelingen geven.
6. De FG dient onmiddellijk geraadpleegd te worden indien zich een datalek of ander incident heeft voorgedaan. Dit kan zowel via mail servicedesk@privacyzorg.nl of via telefoon 0800-1090.
7. De Abonnee ondersteunt de FG door “door hem toegang te verschaffen tot persoonsgegevens en verwerkingen en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid”. Ook is de Abonnee verplicht erop toe te zien dat de FG “geen instructies ontvangt met betrekking tot de uitvoering van [zijn] taken”. Dit betekent dat bij het vervullen van hun taken onder artikel 39 AVG, FG’s geen instructies over de behandeling van een zaak mogen ontvangen, bijvoorbeeld over het te bereiken resultaat, het onderzoeken van een klacht of het raadplegen van een toezichthouder. Verder mogen ze geen instructies ontvangen om een bepaald standpunt in te nemen over een gegevensbeschermingskwestie, bijvoorbeeld over de wettelijke interpretatie.
Artikel 11 - Overige bepalingen
1. Abonnee krijgt alleen ondersteuning als deze nog niet wist (of kon weten) dat ondersteuning nodig zou zijn op het moment dat Abonnee de overeenkomst afsloot. Bij twijfel is het aan Abonnee om aan te tonen dat deze dat nog niet wist (of kon weten).2. Door Abonnee gehanteerde algemene voorwaarden en/of leveringsvoorwaarden zijn uitdrukkelijk niet van toepassing op deze Overeenkomst.
3. Deze overeenkomst treedt in de plaats van alle eerder opgemaakte afspraken tussen Partijen met betrekking tot de Diensten van Privacyzorg.
4. Deze overeenkomst is gebaseerd op de gegevens die u Privacyzorg hebt gegeven toen u deze overeenkomst afsloot. Kloppen die gegevens niet meer? Geef de veranderingen dan zo snel mogelijk aan Privacyzorg door.
5. Geschillen in verband met deze Overeenkomst, waaronder geschillen over de totstandkoming, de uitleg of de uitvoering daarvan, worden bij uitsluiting voorgelegd aan de daartoe bevoegde rechter In het Arrondissement 's-Hertogenbosch.
6. Op alle overeenkomsten tussen Privacyzorg en Abonnee zijn de algemene voorwaarden van toepassing, zie de actuele versie op: https://www.privacyzorg.nl/page/algemene-voorwaarden
7. Op deze Overeenkomst is het Nederlands recht van toepassing.
HOOFDSTUK 2: GEGEVENSVERWERKING IN DE PRIVACYBEHEER DATABASE
Artikel 12 - Privacybeheer database
1. De gegevens die noodzakelijk zijn voor het privacybeheer van de aangesloten Abonnee worden ingevoerd in de Privacybeheer database. Dit systeem bevat de noodzakelijke functionaliteiten om alle facetten van privacybeheer te kunnen borgen.Artikel 13 - Aanlevering gegevens door Abonnee
1. De aandachtshouder Privacy binnen de organisatie van de Abonnee zal minimaal één keer per drie maanden de voor de Privacybeheer database benodigde gegevens aanleveren en/of actualiseren, overeenkomstig de beschrijving van de Dataset in Bijlage 2.2. Wanneer de Abonnee deze werkzaamheden zelf uitvoert, geschiedt de aanlevering van de genoemde gegevens middels een versleutelde Excelsheet. De frequentie van de digitale aanlevering kan in de toekomst worden gewijzigd.
3. Na ondertekening van deze Overeenkomst zal Privacyzorg de Abonnee nader informeren over de wijze waarop aanlevering dient plaats te vinden.
Artikel 14 - Gegevensverstrekking aan derden
1. Privacyzorg kan, op basis van een daartoe strekkende gegevensaanvraag, een selectie van de Gegevens verstrekken aan een derde partij ten behoeve van wetenschappelijk onderzoek of statistiek.2. Een aanvraag tot gegevensverstrekking die betrekking heeft op Persoonsgegevens of vertrouwelijke informatie in de zin van de AVG, wordt slechts ingewilligd na goedkeuring door de betreffende Abonnee. Het beleid omtrent gegevensverstrekking wordt nader omschreven in Bijlage 3 van deze overeenkomst.
3. Privacyzorg toetst een gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking naar een autoriteit, nader overleg voeren met Abonnee.
Artikel 15 - Privacy en informatiebeveiliging
1. Privacyzorg zal ten aanzien van de Persoonsgegevensverwerking in de Privacybeheer database, die in het kader van de uitvoering van deze Overeenkomst plaatsvinden, optreden als Verantwoordelijk in de zin van de AVG.2. Privacyzorg verwerkt de Persoonsgegevens van Abonnee uitsluitend in het kader van haar statutaire doeleinden.
3. Privacyzorg zal de binnen het wettelijke kader voorgeschreven passende technische en organisatorische maatregelen ten uitvoer leggen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de Persoonsgegevensverwerkingen en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Persoonsgegevensverwerkingen te voorkomen. Privacyzorg werkt de beveiligingsmaatregelen nader uit in een informatiebeveiligingsbeleid en zal dit beleid via haar website beschikbaar maken.
4. Privacyzorg zal optreden als aanspreekpunt voor Betrokkenen, aangaande de uitoefening van privacyrechten en rechten op grond van de AVG, in het bijzonder het recht op bezwaar ten aanzien van de Persoonsgegevensverwerkingen die in de Privacybeheer database plaatsvinden.
5. Privacyzorg en de door haar ingezette medewerkers zijn verplicht tot geheimhouding van Persoonsgegevens, waarvan zij in het kader van de uitvoering van deze Overeenkomst kennisnemen, behoudens en voor zover enig wettelijk voorschrift hen tot openbaarmaking en/of afgifte verplicht. Privacyzorg zal erop toezien dat de door haar ingezette personen deze geheimhoudingsverplichting betrachten.
6. Privacyzorg heeft een beleid voorhanden om te reageren op Beveiligingsincidenten. In geval van een Beveiligingsincident zal Privacyzorg voldoen aan de wettelijke meldingsplicht. Partijen zullen gezamenlijk de benodigde maatregelen treffen om de Betrokkenen, indien wettelijk vereist, te informeren over een Beveiligingsincident.
7. Indien Abonnee dan wel Privacyzorg een Beveiligingsincident vaststelt, zal deze de andere Partij informeren en zullen beide Partijen alle benodigde maatregelen treffen conform de wettelijke voorschriften om (verdere) schending of Inbreuken betreffende Persoonsgegevensverwerkingen te voorkomen, of te beperken.
BIJLAGE 1: DIENSTENBESCHRIJVING
Deze “IPM-dienstverleningsovereenkomst” vormt de voorwaarden voor het “Basis” abonnement.
BASIS
Het “Basis abonnement” is uitermate geschikt voor (een groep) zorgverleners met een beperkt aantal Verwerkingen, zoals apotheken en huisartsenpraktijken. Er wordt één abonnementsprijs gerekend per vestiging (zoals geregistreerd bij de Kamer van Koophandel), met een maximum van 10 FTE’s per vestiging. Om de kosten zo laag mogelijk te houden is voor deze groep zorgprofessionals een dienstverlening ontwikkeld die zo standaard mogelijk is. Bovendien is de inspanning die de zorgverlener zelf moet doen beperkt tot maximaal 15 minuten per jaar. De rest van de noodzakelijke activiteiten zal worden uitgevoerd door ons.Met dit abonnement hebben de aangesloten Abonnees recht op een jaarlijkse Review, zodat we snel overzicht krijgen om aan de slag te kunnen. Dit kost u maar een kwartiertje van de kostbare tijd! Voor deze groep Abonnees zullen wij een collectieve Functionaris Gegevensbescherming registreren bij de Autoriteit Persoonsgegevens.
De toegezonden verwerkersovereenkomsten zullen wij beoordelen en administratief afhandelen. Ook ontvangen de Abonnees een sectorspecifieke set handige documenten, zoals werknemersinstructies. Bij vragen over privacy of informatiebeveiliging kan tijdens kantoortijden onze servicedesk gebeld of gemaild worden. Alle templates van ons mogen gebruikt worden, wij zorgen ervoor dat deze actueel blijven met nieuwe wet- en regelgeving. De Abonnees kunnen 7x24 een incident of datalek bij ons aanmelden, wij zorgen voor de afhandeling en doen de verplichte melding bij de Autoriteit Persoonsgegevens.
Privacyzorg verleent aan Abonnee, overeenkomstig artikel 2 lid 1 van de Dienstverleningsovereenkomst, de Diensten als genoemd in dit hoofdstuk.
Dienst: | Service Window: |
Functionaris Gegevensbescherming | 1, 2 en 3 |
Toezicht op alle geregistreerde persoonsgegevensverwerkingen | 1 |
Indien op de verwerking een wettelijk vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code | 1 |
Servicedesk: privacy gerelateerde vragen en klachten afhandelen van medewerkers, cliënten en patiënten | 1 |
Adviseren over technologie en beveiliging | 1 |
Voorlichting en advies over de toepassing van de privacywetgeving | 1 |
Jaarlijkse Online Evaluatie(s) | n.v.t. |
Onsite Audit | n.v.t. |
Implementatie (van de IPM-beheermethode) | n.v.t. |
Inventarisatie, registratie en beheer van persoonsgegevensverwerkingen in de Privacybeheer database | n.v.t. |
De coördinatie van wijzigingen op geregistreerde Verwerkingen | n.v.t. |
Privacy Impact Assessment (PIA) op alle Verwerkingen | n.v.t. |
Afsluiten, registreren en beheren van Verwerkersovereenkomsten en Geheimhoudingsovereenkomsten | n.v.t. |
Gebruiksrecht van het Integraal Privacy Management (IPM) model, bestaande uit de IPM-score, IPM-implementatiemethode en de IPM-beheermethode | n.v.t. |
Gebruiksrecht over alle beschikbare IPM-hulpmiddelen, waaronder de jaarlijkse (technisch/juridisch) geactualiseerde versies van de templates, zoals privacyreglementen, processen, procedures, informatiefolders en presentaties | n.v.t. |
Gebruiksrecht van het privacy auditsysteem, ten behoeve van het snel en efficiënt kunnen uitvoeren van privacy intakes en audits | n.v.t. |
Gebruiksrecht van de privacybeheer database, ten behoeve van het privacybeheer binnen de organisatie van de Abonnee | n.v.t. |
Periodieke nieuwsbrieven | n.v.t. |
Ontwikkelen van interne privacy processen en procedures | n.v.t. |
Opstellen van maatwerk processen en procedures | n.v.t. |
Advies en ondersteuning bij interne en externe visitaties (privacy/security) | n.v.t. |
Advies en ondersteuning bij audits van certificerende instellingen (privacy/security) | n.v.t. |
Advies en ondersteuning bij controle door Toezichthouders en/of Autoriteiten (privacy/security) | 1, 2 en 3 |
Quick respons team (7x24u) - om binnen de wettelijk termijn van 72 uur de wettelijke verplichte melding bij de Autoriteit Persoonsgegevens te kunnen plaatsen | 1, 2 en 3 |
Technische en juridische advies en ondersteuning bij privacy- en/of informatiebeveiligingsincidenten, bijvoorbeeld bij een datalek of een hack op een informatiesysteem | 1, 2 en 3 |
Compliance onderzoek (privacy/security) bij Verwerkers | Ja, o.b.v. steekproeven |
Jaarlijkse privacy rapportage | n.v.t. |
KPI-gegevens omtrent het niveau van privacyborging bij aangesloten leden van Zorggroepen en coöperaties. | n.v.t. |
A. Service Windows
Omschrijving | Tijdvak |
Service Window 1 | Kantoordagen 09:00 – 17:00 uur |
Service Window 2 | Kantoordagen 17:00 – 24:00 uur |
Service Window 3 | ‘s Nachts 24:00 – 9:00 uur; zaterdag, zon- en feestdagen 24 uur |
B. Respons en reactietijden
Type | Prioriteit | Responstijd | Service Window |
Hulp bij calamiteiten | Kritisch / Hoog | 95% < 1 uur / 100% < 2 uren | 1, 2 en 3 |
Overige calls | Normaal | 75% < 1 kantoordag / 100% < 5 kantoordagen | 1 |
Planbaar werk | Planbaar | 80% < 5 kantoordagen / 100% <10 kantoordagen | 1 |
C. Berekeningsindicatoren
Basis | |
Functionaris gegevensbescherming | Collectief |
Overleg met de Functionaris gegevensbescherming | Mail (Ad hoc) |
Inventarisatie middels Jaarlijkse Review | Portaal |
Inventarisatie middels Onsite Audit | ✘ |
Standaard documentsjablonen | ✓ |
Opstellen van beleidstukken, processen, procedures, etc. | ✘ |
Instructies aan direct betrokken medewerkers | ✘ |
Privacy presentaties | Nacalculatie |
Opmaken van Registers van Verwerkingsactiviteiten | Standaard |
Maximaal aantal Registers van Verwerkingsactiviteiten | 8 |
Opmaken van Data Protection Impact Assessments (DPIA's) | Collectief |
Aanbieden van Verwerkersovereenkomsten aan Verwerkers | ✘ |
Beoordelen ingediende Verwerkersovereenkomsten | Max 7 |
AVG-compliance check | ✘ |
Opstellen privacy jaarrapportage | ✘ |
Toegang tot de kennisdatabase | ✓ |
Toegang tot het Privacybeheer Portaal | ✓ |
Toegang tot beheersysteem Informatiebeveiliging (ISMS) | ✓ |
Telefonische helpdesk tijdens kantoortijden | ✓ |
7 x 24 meldpunt datalekken | ✓ |
Afhandeling datalekken (AP-melding, incidentregister, etc.) | ✓ |
Maximaal aantal Tickets (verzoeken) per jaar | 8 |
BIJLAGE 2: BESCHRIJVING GEGEVENSVERWERKING
Minimaal de volgende gegevens worden in de Privacybeheer database vastgelegd:
D. Dataset Register van Verwerkingsactiviteiten:
o Dossiernaam
o Datum invoering
o Verantwoordelijke
o Referentienummer
o Naam Contactpersoon
o Gerelateerd Informatiesysteem
o Namen Auditors
o Aard en type Persoonsgegevens
o Doelbinding en Rechtmatige grondslag van de Persoonsgegevensverwerking
o Verwerkers en Ontvangers
o Gehanteerde procedures
o Verrichtte Evaluaties
o Gekoppelde Tickets
o Gekoppelde Documenten
E. Dataset Tickets
o Toegewezen ticketnummer
o Datum van aanmelden
o Prioriteit van de melding
o Verantwoordelijke
o Kostenplaats
o Naam en contactgegevens van de aanvrager
o Bron van de melding
o Actiehouder van de melding
o Beoordelaar van de melding
o Register wat betrekking heeft op de melding
o Onderwerp van de melding
o Van toepassing zijnde overeenkomsten en procedures
o Analyse van de melding (afhankelijk van de aard van de melding kan dit veld bijzondere persoonsgegevens bevatten!)
o Maatregelen die genomen moeten worden
F. Dataset Ontvangers & Verwerkers
o Register (toegang tot)
o Verantwoordelijke
o Naam Ontvanger
o Verwerker (ja/nee)
o Doorgifte buiten EU
o Borging (document)
o Reden verstrekking
o Ingangsdatum
o Opsteller
o Laatst geupdate
BIJLAGE 3: BELEID GEGEVENSVERSTREKKING
De gegevens in de Privacybeheer database kunnen naar de inhoud en vertrouwelijkheid in drie categorieën worden onderverdeeld. Deze categorieën zijn:
G. Niveau 1
Deze gegevens beperken zich tot beschrijvende en/of statistische gegevens en schetsen een beeld van het niveau van privacyborging binnen de aangesloten Abonnees. Bijvoorbeeld aantallen geregistreerde Persoonsgegevensverwerkingen, klachten, wijzigingen, risico’s, etc. Het betreft geaggregeerde gegevens die redelijkerwijs niet herleid kunnen worden naar de Abonnee, haar medewerkers of patiënten en die evenmin bedrijfsvertrouwelijke informatie bevatten.
Het verstrekken van deze data aan belanghebbenden is niet aan bijzondere beperkingen onderworpen. Vraagstellingen betreffende niveau 1 gegevens kunnen worden goedgekeurd door het management van Privacyzorg zonder verdere toestemming van de Abonnee. Door Privacyzorg wordt een overzicht bijgehouden van alle niveau 1 vertrekkingen en dit wordt jaarlijks gerapporteerd aan de Abonnees.
H. Niveau 2
Deze gegevens worden gebruikt in relatie tot het beheer van Persoonsgegevensverwerkingen binnen de Privacybeheer database, waaronder de inventarisaties, het register van meldingen van persoonsgegevensverwerkingen en de gegevens die zijn verkregen vanuit privacy intakes en de jaarlijkse privacyaudit. Ook valt het Privacy Jaarverslag onder deze categorie.
Niveau 2 gegevens kunnen vertrouwelijk van aard zijn en zijn veelal (bijzondere) persoonsgegevens over medewerkers en patiënten in de zin van de AVG. Het verstrekken van niveau 2 gegevens moet beoordeeld en goedgekeurd worden door de directie van de Abonnee. Privacyzorg is voor niveau 2 gegevens tot strikte geheimhouding verplicht, behoudens en voor zover enig wettelijk voorschrift haar tot openbaarmaking en/of afgifte verplicht.
I. Niveau 3
Het betreft hier gegevens over informatiebeveiliging en zéér vertrouwelijke (juridische) organisatiegegevens van de Abonnee. Niveau 3 gegevens omvatten ook gegevens over veiligheidsincidenten en datalekken. Privacyzorg toetst een niveau 3 gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking, nader overleg voeren met de Abonnee. Verzoeken voor niveau 3 gegevens moeten altijd beoordeeld en goedgekeurd worden door zowel het management van Privacyzorg alsmede de directie van de Abonnee.
Indien het verstrekken van deze gegevens spoedeisend en essentieel is voor de enig wettelijk termijn, zoals bijvoorbeeld het termijn van 72uur waarbinnen een datalek gemeld moet worden, kan het management van Privacyzorg bij onbereikbaarheid van de directie van de Abonnee alsnog tot gegevensverstrekking overgaan. Dit zal uitsluitend plaatsvinden na een gedegen afweging door het management van Privacyzorg over het aannemelijke risico op zéér hoge boetes voor de Abonnee, of wanneer (vervolg)sancties voor haar aannemelijk zijn.
--------------------------------------
Versie 24 mei 2023
Algemene BepalingenArtikel 1 - Toepasselijkheid
1.2. Deze algemene voorwaarden zijn van toepassing op alle aanbiedingen van en overeenkomsten met Privacyzorg. Uitsluitend door Privacyzorg schriftelijk aanvaarde afwijkingen van deze algemene 1.3. De nietigheid of vernietiging van een of meer bepalingen van deze algemene voorwaarden staan
Artikel 2 - Aanbod en overeenkomst
2.2. Een aanbod van Privacyzorg is gedurende 30 kalenderdagen na de verzending daarvan door 2.3. Indien een door de afnemer van Privacyzorg gevraagd aanbod niet tot een overeenkomst tussen 2.4. Indien door Privacyzorg een aanbod is gedaan, komt een overeenkomst tussen Privacyzorg en de 2.5. Indien door Privacyzorg geen aanbod is gedaan, komt een overeenkomst eerst tot stand door de 2.6. Wijzigingen van en/of aanvullingen op de overeenkomst zijn eerst geldig nadat die wijzigingen en/of aanvullingen door Privacyzorg en de afnemer schriftelijk zijn aanvaard. 2.7. Privacyzorg heeft het recht de overeenkomst door derden te laten uitvoeren. 2.8. De afnemer heeft uitsluitend het recht de overeenkomst te annuleren of te ontbinden indien dat in die overeenkomst uitdrukkelijk is overeengekomen en/of de afnemer dat recht aan dwingend 2.9. Privacyzorg heeft het recht de overeenkomst eenzijdig met onmiddellijke ingang geheel of ten dele te beëindigen en/of de uitvoering van haar uit de overeenkomst voortvloeiende verbintenissen met onmiddellijke ingang geheel of ten dele op te schorten indien: a. de afnemer toerekenbaar is tekortgeschoten in de nakoming van één of meer uit de overeenkomst voortvloeiende verbintenissen en te dien aanzien in verzuim is; b. een tot het verlenen van – voorlopige – surséance van betaling aan de afnemer strekkend verzoek is ingediend; c. een tot faillietverklaring van de afnemer strekkend verzoek is ingediend; d. ten laste van de afnemer executoriaal beslag onder Privacyzorg is gelegd; e. een tot ontbinding en/of liquidatie van de afnemer strekkend besluit is tot stand gekomen; f. een of meer aandelen in de afnemer aan anderen dan de aandeelhouder(s) bij het tot stand komen van de overeenkomst zijn overgedragen; g. de door de afnemer geëxploiteerde onderneming geheel of ten dele aan een of meer anderen is overgedragen. Privacyzorg is wegens het beëindigen van de overeenkomst en het opschorten van uit de 2.10. De afnemer heeft niet het recht de overeenkomst te ontbinden indien de afnemer in verzuim is. 2.11. Indien de overeenkomst is ontbonden vallen de door de afnemer ter uitvoering van de overeenkomst reeds ontvangen prestaties en de daarmee verband houdende betalingsverplichtingen van de afnemer niet onder een ongedaanmakingsverplichting, tenzij Privacyzorg ten aanzien van die
Artikel 3 - Levering en afname
3.2. Vervoer, verzending, invoer, uitvoer, opslag en verzekering van door Privacyzorg aan de afnemer 3.3. Levering van zaken door Privacyzorg geschiedt na betaling door de afnemer van de voor – levering van – die zaken verschuldigde bedragen. 3.4. Door Privacyzorg kenbaar gemaakte leveringstermijnen zijn naar beste weten op basis van bij het 3.5. De afnemer is verplicht te leveren zaken op de overeengekomen leveringstermijnen af te nemen. 3.6. Onverminderd de artikelen 3.2. en 5. zijn door Privacyzorg te leveren zaken voor risico van de 3.7. De afnemer is verplicht de deugdelijkheid van door Privacyzorg geleverde zaken bij de (af)levering 3.8. Privacyzorg is zonder haar voorafgaande schriftelijke toestemming niet verplicht door de afnemer
Artikel 4 - Prijs en betaling
4.2. Privacyzorg heeft het recht overeengekomen prijzen en tarieven – met onmiddellijke ingang – aan 4.3. De kosten van uitvoering van na het aanbod van Privacyzorg door de afnemer verzochte en door 4.4. Facturen – waaronder pro forma facturen – van Privacyzorg dienen in Euro’s te worden voldaan 4.5. Indien de afnemer verschuldigde vergoedingen niet binnen de geldende termijn heeft betaald, is de afnemer onmiddellijk in verzuim en over de openstaande vergoeding een vertragingsrente van 12% per jaar verschuldigd. Indien de afnemer verschuldigde vergoedingen na eerste herinnering nalaat te betalen, is de afnemer het bedrag van de door Privacyzorg te maken kosten van rechtsbijstand in en buiten rechte – waaronder de niet geliquideerde proceskosten – aan Privacyzorg verschuldigd. De kosten van rechtsbijstand buiten rechte bedragen 15% van de hoofdsom en de vertragingsrente met een minimum van EUR 500,00 exclusief omzetbelasting. 4.6. Privacyzorg heeft het recht betalingen van de afnemer – ondanks andersluidende vermeldingen 4.7. De afnemer heeft niet het recht zijn betalingsverplichtingen tegenover Privacyzorg op te schorten 4.8. Indien de afnemer zijn betalingsverplichtingen tegenover Privacyzorg niet volledig of binnen de 4.9. De afnemer is verplicht op eerste verzoek van Privacyzorg de voldoening van uit de overeenkomst
Artikel 5 - Voorbehoud van eigendom en rechten
5.2. Krachtens de overeenkomst te leveren of te verlenen rechten worden door Privacyzorg steeds aan de afnemer geleverd respectievelijk verleend onder de opschortende voorwaarde dat de daarvoor aan Privacyzorg verschuldigde vergoedingen en de in verband met niet correcte uitvoering van de overeenkomst verschuldigde vergoedingen, waaronder krachtens artikel 4.5. verschuldigde
Artikel 6 - Rechten van intellectuele eigendom
6.2. Door Privacyzorg ten aanzien van de hiervoor in artikel 6.1. bedoelde voortbrengselen aan de 6.3. De afnemer zal Privacyzorg vrijwaren van vorderingen van derden op basis van de stelling dat
Artikel 7 - Aansprakelijkheid en schadevergoeding
7.3. Aansprakelijkheid van Privacyzorg kan uitsluitend ontstaan, nadat de afnemer Privacyzorg 7.4. Een verplichting van Privacyzorg tot schadevergoeding is beperkt tot directe schade tot maximaal 7.5. De afnemer zal Privacyzorg vrijwaren van vorderingen van derden – zoals werknemers en (andere) hulppersonen – die voortvloeien uit en/of verband houden met krachtens de overeenkomst door Privacyzorg geleverde zaken en/of verrichte werkzaamheden. De afnemer zal Privacyzorg 7.6. Indien door werknemers en/of (andere) hulppersonen van Privacyzorg ten behoeve van de afnemer werkzaamheden buiten een onderneming van Privacyzorg en/of met door de afnemer beschikbaar gestelde materialen worden verricht, rust op de afnemer tegenover die werknemers en (andere) hulppersonen de in artikel 7:658 BW bedoelde verplichting en aansprakelijkheid, terwijl de afnemer Privacyzorg zal vrijwaren voor vorderingen van die werknemers en (andere) hulppersonen, die voortvloeien uit het niet nakomen door de afnemer van de in artikel 7:658 BW bedoelde 7.7. De afnemer staat er voor in dat door Privacyzorg te verwerken gegevens, het verwerken van de
Artikel 8 - Overmacht
8.2. Indien Privacyzorg door overmacht tijdelijk of blijvend niet in staat is de overeenkomst uit te voeren,
Artikel 9 - Vertrouwelijke informatie en non-concurrentie
9.2. De afnemer zal tijdens de duur van de overeenkomst en gedurende één jaar na het einde van de
Artikel 10 - Algemeen
10.2. De afnemer zal Privacyzorg op de hoogte houden van de juiste en NAW-gegevens van de afnemer en Privacyzorg onmiddellijk schriftelijk in kennis stellen van wijzigingen van de NAW-gegevens van de afnemer. 10.3. Aanbiedingen van en overeenkomsten met Privacyzorg worden uitsluitend beheerst door 10.4. De absoluut bevoegde rechter in het arrondissement ’s-Hertogenbosch heeft rechtsmacht en is 10.5. De opschriften in deze algemene voorwaarden dienen slechts om de leesbaarheid te bevorderen en 10.6. Indien Privacyzorg een niet Nederlandstalige versie van deze algemene voorwaarden hanteert en tussen de Nederlandstalige versie en niet Nederlandstalige versie verschillen bestaan, is uitsluitend de Nederlandstalige versie bindend.
DIENSTVERLENINGDe in dit hoofdstuk “Dienstverlening” vermelde bepalingen zijn naast en met voorrang voor de bepalingen in het hoofdstuk “Algemene bepalingen” van toepassing indien Privacyzorg diensten verleent.
Artikel 11 - Meer leveranciers
Artikel 12 - Uitvoering
12.2. Indien is overeengekomen dat dienstverlening in fasen zal plaatsvinden, heeft Privacyzorg het 12.3. Privacyzorg is uitsluitend verplicht bij de uitvoering van de overeengekomen dienstverlening 12.4. Privacyzorg heeft het recht de overeengekomen dienstverlening geheel of ten dele door een of
Artikel 13 - Wijzigingen en meerwerk
13.2. De afnemer aanvaardt dat door het verrichten van buiten de inhoud en/of de omvang van de |